本公開涉及異常檢測，尤其涉及一種異常登錄檢測方法、裝置及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、目前，業(yè)務(wù)系統(tǒng)所需的數(shù)據(jù)通過數(shù)據(jù)庫表的形式存儲(chǔ)在數(shù)據(jù)庫中，基于此，保證數(shù)據(jù)庫的安全非常重要。但是，對數(shù)據(jù)庫攻擊可能時(shí)時(shí)刻刻都在發(fā)生，攻擊者會(huì)使用各種各樣的方法對數(shù)據(jù)庫發(fā)起攻擊，因此，有必要對數(shù)據(jù)庫的登錄事件進(jìn)行異常檢測，以保證數(shù)據(jù)庫的安全。

2、現(xiàn)有技術(shù)中，通過使用黑名單或者白名單對登錄數(shù)據(jù)庫連接的源端ip地址進(jìn)行判斷和限制，或者檢測登錄的數(shù)據(jù)庫賬號的請求語句中是否含有特定關(guān)鍵字，或檢測登錄的數(shù)據(jù)庫賬號的請求語句是否匹配預(yù)設(shè)的正則表達(dá)式等方式，通過規(guī)則匹配來判斷登錄后是否存在異常行為。但是，上述現(xiàn)有技術(shù)中通過既定規(guī)則進(jìn)行異常登錄檢測時(shí)，無法識別既定規(guī)則中不存在的非法登錄情況，使得檢測結(jié)果的準(zhǔn)確率低。

技術(shù)實(shí)現(xiàn)思路

1、為克服相關(guān)技術(shù)中存在的問題，本公開提供一種異常登錄檢測方法、裝置及存儲(chǔ)介質(zhì)。

2、根據(jù)本公開實(shí)施例的第一方面，提供一種異常登錄檢測方法，所述方法包括；

3、對需要進(jìn)行登錄檢測的數(shù)據(jù)庫進(jìn)行數(shù)據(jù)采集，獲取所述數(shù)據(jù)庫的初始數(shù)據(jù)；

4、對所述初始數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理，得到預(yù)處理后的數(shù)據(jù)集；

5、確定初始o(jì)ne-class?svm模型，并利用所述預(yù)處理后的數(shù)據(jù)集對所述初始o(jì)ne-class?svm模型進(jìn)行訓(xùn)練，得到目標(biāo)one-class?svm模型；

6、獲取所述數(shù)據(jù)庫新的登錄數(shù)據(jù)，通過黑白名單和所述目標(biāo)one-class?svm模型對所述登錄數(shù)據(jù)進(jìn)行異常登錄檢測，得到檢測結(jié)果；

7、響應(yīng)于所述檢測結(jié)果為異常登錄，則基于所述檢測結(jié)果進(jìn)行告警與自動(dòng)響應(yīng)。

8、可選的，在本公開實(shí)施例中，所述對需要進(jìn)行登錄檢測的數(shù)據(jù)庫進(jìn)行數(shù)據(jù)采集，獲取所述數(shù)據(jù)庫的初始數(shù)據(jù)，包括：

9、確定所述需要進(jìn)行登錄檢測的數(shù)據(jù)庫的類型；

10、基于所述數(shù)據(jù)庫的類型，通過創(chuàng)建所述數(shù)據(jù)庫的觸發(fā)器或開啟所述數(shù)據(jù)庫的日志功能對所述數(shù)據(jù)庫進(jìn)行數(shù)據(jù)采集，得到所述數(shù)據(jù)庫的登錄事件信息；

11、標(biāo)記所述登錄事件信息的類型，并將標(biāo)記后的登錄事件信息確定為所述數(shù)據(jù)庫的初始數(shù)據(jù)。

12、可選的，在本公開實(shí)施例中，所述對所述初始數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理，得到預(yù)處理后的數(shù)據(jù)集，包括：

13、提取所述初始數(shù)據(jù)中標(biāo)記類型為正常的登錄事件集合；

14、提取所述登錄事件集合中的分類數(shù)據(jù)，并對所述分類數(shù)據(jù)進(jìn)行embedding處理，得到各登錄事件對應(yīng)的第一特征向量；

15、提取所述登錄事件集合中各登錄事件的時(shí)間戳數(shù)據(jù)；

16、對所述各登錄事件的其余數(shù)據(jù)特征進(jìn)行標(biāo)準(zhǔn)化處理，得到所述各登錄事件對應(yīng)的第二特征向量；

17、基于所述第一特征向量、所述時(shí)間戳數(shù)據(jù)和所述第二特征向量，得到所述各登錄事件的特征向量，并將所述各登錄事件的特征向量，確定為預(yù)處理后的數(shù)據(jù)集。

18、可選的，在本公開實(shí)施例中，所述對所述各登錄事件的其余數(shù)據(jù)特征進(jìn)行標(biāo)準(zhǔn)化處理，得到所述各登錄事件對應(yīng)的第二特征向量，包括：

19、計(jì)算各數(shù)據(jù)特征在所述登錄事件集合中的均值和標(biāo)準(zhǔn)差；

20、基于所述均值和標(biāo)準(zhǔn)差，通過標(biāo)準(zhǔn)化公式得到所述各登錄事件對應(yīng)的第二特征向量。

21、可選的，在本公開實(shí)施例中，所述確定初始o(jì)ne-class?svm模型，并利用所述預(yù)處理后的數(shù)據(jù)集對所述初始o(jì)ne-class?svm模型進(jìn)行訓(xùn)練，得到目標(biāo)one-class?svm模型，包括：

22、按照預(yù)設(shè)比例，通過隨機(jī)抽樣將所述預(yù)處理后的數(shù)據(jù)集分為訓(xùn)練數(shù)據(jù)集和測試數(shù)據(jù)集；

23、確定所述初始o(jì)ne-class?svm模型的超參數(shù)和配置參數(shù)；

24、通過所述訓(xùn)練數(shù)據(jù)集對所述初始o(jì)ne-class?svm模型進(jìn)行訓(xùn)練，得到訓(xùn)練完成的one-class?svm模型；

25、通過所述測試數(shù)據(jù)集對所述訓(xùn)練完成的one-class?svm模型進(jìn)行測試調(diào)優(yōu)，得到目標(biāo)one-class?svm模型。

26、可選的，在本公開實(shí)施例中，所述通過所述測試數(shù)據(jù)集對所述訓(xùn)練完成的one-class?svm模型進(jìn)行測試調(diào)優(yōu)，得到目標(biāo)one-class?svm模型，包括：

27、通過所述訓(xùn)練完成的one-class?svm模型對所述測試數(shù)據(jù)集中的測試數(shù)據(jù)進(jìn)行預(yù)測，得到預(yù)測結(jié)果；

28、通過混淆矩陣方法對所述預(yù)測結(jié)果進(jìn)行評估，并將通過評估的訓(xùn)練完成的one-class?svm模型確定為目標(biāo)one-class?svm模型。

29、可選的，在本公開實(shí)施例中，所述通過黑白名單和所述目標(biāo)one-class?svm模型對所述登錄數(shù)據(jù)進(jìn)行異常登錄檢測，得到檢測結(jié)果，包括：

30、通過黑白名單對所述登錄數(shù)據(jù)進(jìn)行過濾，若所述登錄數(shù)據(jù)命中黑名單則對所述登錄數(shù)據(jù)進(jìn)行攔截，得到對應(yīng)的檢測結(jié)果為異常登錄；

31、若所述登錄數(shù)據(jù)命中白名單，則得到對應(yīng)的檢測結(jié)果為正常登錄；

32、若所述登錄數(shù)據(jù)未命中黑白名單，則將所述登錄數(shù)據(jù)輸入所述目標(biāo)one-classsvm模型中，得到所述登錄數(shù)據(jù)的檢測結(jié)果。

33、根據(jù)本公開實(shí)施例的第二方面，提供一種異常登錄檢測裝置，所述裝置包括：

34、采集模塊，用于對需要進(jìn)行登錄檢測的數(shù)據(jù)庫進(jìn)行數(shù)據(jù)采集，獲取所述數(shù)據(jù)庫的初始數(shù)據(jù)；

35、數(shù)據(jù)預(yù)處理模塊，用于對所述初始數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理，得到預(yù)處理后的數(shù)據(jù)集；

36、訓(xùn)練模塊，用于確定初始o(jì)ne-class?svm模型，并利用所述預(yù)處理后的數(shù)據(jù)集對所述初始o(jì)ne-class?svm模型進(jìn)行訓(xùn)練，得到目標(biāo)one-class?svm模型；

37、異常檢測模塊，用于獲取所述數(shù)據(jù)庫新的登錄數(shù)據(jù)，通過黑白名單和所述目標(biāo)one-class?svm模型對所述登錄數(shù)據(jù)進(jìn)行異常登錄檢測，得到檢測結(jié)果；

38、告警模塊，用于響應(yīng)于所述檢測結(jié)果為異常登錄，則基于所述檢測結(jié)果進(jìn)行告警與自動(dòng)響應(yīng)。

39、根據(jù)本公開實(shí)施例的第三方面，提供了一種電子設(shè)備，包括：

40、處理器；

41、用于存儲(chǔ)處理器可執(zhí)行指令的存儲(chǔ)器；

42、其中，所述處理器被配置為實(shí)現(xiàn)前述第一方面中所述的方法。

43、根據(jù)本公開實(shí)施例的第四方面，提供了一種非臨時(shí)性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)可執(zhí)行指令；所述計(jì)算機(jī)可執(zhí)行指令被處理器執(zhí)行后，能夠?qū)崿F(xiàn)前述第一方面中所述的方法。

44、本公開的實(shí)施例提供的技術(shù)方案可以包括以下有益效果：

45、本公開提出的一種異常登錄檢測方法、裝置及存儲(chǔ)介質(zhì)，該方法包括對需要進(jìn)行登錄檢測的數(shù)據(jù)庫進(jìn)行數(shù)據(jù)采集，獲取數(shù)據(jù)庫的初始數(shù)據(jù)；對初始數(shù)據(jù)進(jìn)行數(shù)據(jù)預(yù)處理，得到預(yù)處理后的數(shù)據(jù)集；確定初始o(jì)ne-class?svm模型，并利用預(yù)處理后的數(shù)據(jù)集對初始o(jì)ne-class?svm模型進(jìn)行訓(xùn)練，得到目標(biāo)one-class?svm模型；獲取數(shù)據(jù)庫新的登錄數(shù)據(jù)，通過黑白名單和目標(biāo)one-class?svm模型對登錄數(shù)據(jù)進(jìn)行異常登錄檢測，得到檢測結(jié)果；響應(yīng)于檢測結(jié)果為異常登錄，則基于檢測結(jié)果進(jìn)行告警與自動(dòng)響應(yīng)。由此，本公開通過黑白名單和目標(biāo)one-class?svm模型對登錄數(shù)據(jù)進(jìn)行異常登錄檢測，考慮了登錄數(shù)據(jù)的多種特征，從而使得可以從多個(gè)維度對登錄數(shù)據(jù)進(jìn)行異常檢測分析，提高了異常檢測的準(zhǔn)確度。

46、應(yīng)當(dāng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的，并不能限制本公開。